ENS Básico: qué es y cómo conseguirlo paso a paso

Si tu empresa presta servicios tecnológicos a la Administración Pública o quiere empezar a hacerlo, es muy probable que necesites el ENS. Y la categoría Básica es, para la mayoría de los proveedores de servicios de menor criticidad, el punto de partida. Este artículo te explica qué es, a quién aplica y qué pasos concretos tienes que dar para conseguirlo.

Qué es el ENS y sus categorías

El Esquema Nacional de Seguridad (ENS) es el marco normativo español que regula la seguridad de los sistemas de información en las Administraciones Públicas y en sus proveedores tecnológicos. Está regulado por el Real Decreto 311/2022, que actualizó y reforzó la versión anterior de 2010.

El ENS clasifica los sistemas de información en tres categorías según el impacto que tendría un incidente de seguridad sobre los servicios prestados:

• Categoría Básica: sistemas donde un incidente de seguridad tendría un impacto limitado sobre la organización, sus activos o los ciudadanos.
• Categoría Media: sistemas donde un incidente tendría un impacto considerable, pudiendo afectar de forma apreciable a los servicios prestados.
• Categoría Alta: sistemas donde un incidente tendría un impacto muy grave, con consecuencias potencialmente irreversibles para los ciudadanos o la Administración.

La categoría se determina evaluando el impacto potencial en cinco dimensiones de seguridad: disponibilidad, autenticidad, integridad, confidencialidad y trazabilidad. La categoría final del sistema es la más alta de las obtenidas en cualquiera de estas dimensiones.

Qué es la categoría Básica del ENS

La categoría Básica es la más habitual para los proveedores privados de servicios de menor criticidad a la Administración. Aplica cuando los sistemas gestionan información o prestan servicios en los que un incidente de seguridad tendría consecuencias limitadas:

• Información de acceso público o de baja sensibilidad
• Servicios auxiliares o de apoyo, no esenciales para la misión de la AAPP
• Herramientas de productividad, portales web informativos o aplicaciones de gestión interna de baja criticidad

A quién aplica el ENS Básico

El ENS Básico aplica a cualquier empresa privada que preste servicios o suministre sistemas de información a una Administración Pública española, siempre que los sistemas afectados sean clasificados como categoría Básica en el análisis de impacto.

Los casos más comunes son:

• Empresas de desarrollo de software que crean o mantienen aplicaciones para ayuntamientos, comunidades autónomas o ministerios
• Proveedores de servicios en la nube (SaaS, IaaS, PaaS) usados por la AAPP
• Empresas de consultoría tecnológica con acceso a sistemas de la Administración
• Proveedores de servicios gestionados (MSPs) que gestionan infraestructura de organismos públicos
• Empresas de mantenimiento informático con acceso remoto a sistemas de la AAPP

Incluso si el contrato actual con la AAPP no exige expresamente el ENS, es muy habitual que los pliegos de nuevas licitaciones sí lo requieran. Tener el ENS Básico antes de presentarte a una licitación elimina una barrera importante.

Los pasos para conseguir el ENS Básico

A continuación se detallan las fases habituales de un proyecto de adecuación y certificación ENS categoría Básica:

Paso 1: Análisis de impacto y determinación de categoría

El primer paso es definir el alcance del sistema que va a ser certificado y determinar formalmente su categoría. Esto implica identificar los servicios prestados y los activos involucrados, y valorar el impacto potencial de incidentes en cada una de las cinco dimensiones de seguridad. El resultado de este análisis confirma o descarta que el sistema se clasifique como categoría Básica.

Paso 2: Gap analysis frente al ENS

Una vez definido el alcance y la categoría, se realiza un análisis de brechas: comparar el estado actual de seguridad de la organización con las medidas que exige el Anexo II del ENS para la categoría Básica. El gap analysis produce un inventario de medidas que ya están implantadas, medidas que están parcialmente implantadas y medidas que hay que desarrollar desde cero.

Paso 3: Plan de implantación

Con el gap analysis en mano, se diseña el plan de trabajo: qué hay que hacer, en qué orden, quién es responsable de cada tarea y en qué plazo. Un buen plan de implantación prioriza las medidas que más contribuyen a la seguridad real del sistema y tiene en cuenta la disponibilidad del equipo interno.

Paso 4: Implantación de medidas

Es la fase más extensa del proyecto. Se desarrollan e implementan todas las medidas del Anexo II del ENS para la categoría Básica que no estaban cubiertas. Esto incluye:

• Política de seguridad y normativas internas
• Análisis y gestión de riesgos
• Gestión de activos de información
• Control de accesos y gestión de identidades
• Configuración segura de sistemas (hardening)
• Gestión de actualizaciones y vulnerabilidades
• Protección de las comunicaciones
• Procedimientos de copias de seguridad y recuperación
• Registro y monitorización de eventos
• Gestión de incidentes de seguridad
• Formación y concienciación del personal

Paso 5: Generación de evidencias

El ENS no es solo hacer cosas: hay que poder demostrar que se hacen. La documentación de evidencias (registros de actividades, informes de análisis de riesgos, actas de revisión, logs de sistemas) es esencial para superar la auditoría de certificación. Sin evidencias, no hay certificado.

Paso 6: Auditoría interna previa

Antes de solicitar la auditoría de certificación, es muy recomendable realizar una auditoría interna completa. Permite identificar no conformidades y corregirlas con tiempo suficiente, en lugar de descubrirlas durante la auditoría oficial, lo que podría retrasar la certificación.

Paso 7: Auditoría de certificación

La auditoría de certificación la realiza una entidad de certificación acreditada por ENAC. Consiste en una revisión documental y técnica del sistema, con entrevistas al personal implicado y comprobación de evidencias. Para la categoría Básica, esta auditoría suele ser menos extensa que para Media o Alta.

Paso 8: Obtención del certificado y mantenimiento

Si la auditoría no detecta no conformidades graves, la entidad certificadora emite la Declaración de Conformidad ENS categoría Básica. Su vigencia es de 2 años (con revisión anual), aunque el RD 311/2022 permite que en algunos casos la categoría Básica se acredite mediante una declaración responsable del responsable de seguridad, sujeta a verificación posterior.

El mantenimiento del certificado implica mantener activo el sistema de gestión, actualizar la documentación cuando cambien los sistemas o los procesos, y preparar la revisión anual.

Plazos orientativos

Un proyecto de adecuación y certificación ENS categoría Básica para una empresa mediana (sin sistemas de gestión de seguridad previos) suele completarse en 3 a 6 meses, dependiendo de:

• El estado de partida en materia de seguridad (si ya hay controles implantados, el proceso es más corto)
• La disponibilidad y colaboración del equipo interno
• La complejidad de los sistemas incluidos en el alcance
• La agenda de la entidad certificadora

Si la empresa tiene ya implantada ISO 27001 o tiene controles de seguridad maduros, el plazo puede reducirse a 2-3 meses, ya que gran parte del trabajo ya está hecho.

Coste orientativo

El coste total de un proyecto ENS Básico tiene dos componentes principales: la consultoría de adecuación e implantación, y las tasas de la entidad certificadora. Ambos varían según el tamaño de la empresa, la complejidad del sistema y la situación de partida.

No existen tarifas fijas: cada proyecto es diferente. Lo que sí podemos decir es que el coste de la consultoría es significativamente más bajo que el de un proyecto ENS Media o Alta, y que el coste de no tener el ENS (quedar excluido de licitaciones públicas) suele superar con creces el de conseguirlo.